Debian 9.7

 ( trey | 2019. január 24., csütörtök - 8:40 )

Megjelent a Debian 9 hetedik karbantartási kiadása. Részletek a bejelentésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Remek időzítés, hiszen pont itt az ideje egy rakás rendszer újratelepítésének :o

Szerk: nem is csak időzítés, hanem kimondottan az apt bug miatt lett új release...
jó döntés.

--
zrubi.hu

+1

--
robyboy

Rendszeresen update-elek, nekem 3-4 kis csomag jott csak es 9.7 lett a verzio.

Hát igen, csak ha az ominózus bug miatt már comprommitált a rendszered, akkor hiába firssítesz, úgy is marad...

És mivel a http forgalmat transzparens módon lehet proxyzni - és ezzel tulajdonképpen egy teljesen láthatatlan MiTM támadást kivitelezni - így igen nehéz megállapítani, hogy ez megtörtént-e vagy sem.
(csak akkor tudod ezt megtenni, ha a rendszered előtt egy HTTP protokollt szűrni képes tűzfal van/volt már az első bugos apt megjelenése óta, és megvan azóta minden http response is, és egyértelműen azonosítani tudod az esetleges hackelt http respons-okat, vagy amire sokkal több esély van: az esetleges "gonosz" redirect URL-eket.)

Tehát az egyetlen biztos megoldás az újratelepítés az új image-ből, amiben már a javított apt verzió van.

És akkor itt jöhet a risk analysis:
mekkora meló minden rendszert újrahúzni vs. mekkora eséllyel nyomták fel ezt kihasználva a rendszereidet.

Érzésre a nagy többség a "feeling lucky" üzemmódban van, volt, és lesz ;)
good luck!

--
zrubi.hu

És mivel a build szerverek és verziókezelők jórésze is tuti Debiant (apt-ot) használ - főleg a sajátjaik, ezért aztán az új buildekben sem lehet megbízni, mert injektálhattak egy kódot, ami minden új buildbe injektálja a kártevő kódot.

Mi a tuti megoldás? Ha nem frissítünk :-) Ha nem frissítünk, akkor nem tudja a támadó kihasználni az apt bugot!

Vagy a bughoz tartozó leírás alapján javítod az apt-ot, így utána megbízhatsz az újonnan buildelt imagekben.

Alternatív ötlet:

Felmész a böngészőben a https://packages.debian.org/stable/allpackages oldalra,
onnan kézzel letöltöd az apt (1.4.9) és apt-utils (1.4.9) csomagokat.

Ezután kézzel ellenőrzöd a letöltött fájlok checksum-ját, az alábbival:
https://packages.debian.org/stretch/amd64/apt/download
https://packages.debian.org/stretch/amd64/apt-utils/download

Majd dpkg -i apt.deb apt-utils.deb -bel feltelepíted.
És csak ezután adod ki az apt-get upgrade parancsot.

(Persze ehhez feltételezni kell, hogy eddig nem kompromittálódott a géped, de ki tudja?
Lehet, ez a bug már 20 éve benne van.)

Vagy ez a metódus sem elég biztonságos ??

Nem eresztek ki csak egy szervert a netre, minden mas ezen az egy szerveren levo APT proxy (AptCacherNg) mogott van.

Az APT proxy server direkt egy mezei ubuntu, nincs rajta semmi mas, csak az alaprendszer, meg a AptCacherNg. Szoval max. azt kell ujratelepiteni, friss image-bol.

Ezt most a javított apt indokolta.

--
robyboy